漏洞风险提示| Adobe ColdFusion 远程代码执行漏洞

admin 2023年3月17日21:32:39评论35 views字数 868阅读2分53秒阅读模式
        长亭漏洞风险提示       


Adobe ColdFusion 

远程代码执行漏洞

CVE-2023-26359/CVE-2023-26360


Adobe ColdFusion 是一个商用的快速应用程式开发平台,最初是为了创建能与数据库连接的网站而开发的,之后它发展成为了一个全面的开发平台,包括一个集成开发环境以及功能全面的脚本语言。


3月15日,Adobe 官方发布安全更新通告,其中修复了两个远程代码执行漏洞, CVE-2023-26359 和 CVE-2023-26360,漏洞危害官方评级为严重

https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html


漏洞描述


CVE-2023-26359 是由于 Adobe ColdFusion 对由用户可控的数据进行了反序列化而导致的远程代码执行漏洞,CVSS 评分为 9.8。远程且未经过授权认证的攻击者可通过此漏洞,在目标服务端直接执行任意恶意代码,接管系统服务权限。


CVE-2023-26360 则是由于 Adobe ColdFusion 对用户的访问控制校验不当而导致的远程代码执行漏洞,CVSS 评分 8.6。Adobe 官方公告中提到, CVE-2023-26360 已出现在“非常有限的”在野利用攻击中


影响范围


  • ColdFusion 2018:Update 15 及之前的版本

  • ColdFusion 2021:Update 5 及之前的版本


解决方案


Adobe 官方已经发布安全更新补丁,受影响的用户可通过更新升级至以下版本进行漏洞修复:

  • ColdFusion 2018 Update 16

  • ColdFusion 2021 Update 6


产品支持


全悉:已发布更新包支持该漏洞利用行为的检测。

雷池:已发布自定义规则支持该漏洞利用行为的检测。


参考资料



  • https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html


漏洞风险提示| Adobe ColdFusion 远程代码执行漏洞

漏洞风险提示| Adobe ColdFusion 远程代码执行漏洞





原文始发于微信公众号(长亭技术沙盒):漏洞风险提示| Adobe ColdFusion 远程代码执行漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月17日21:32:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  漏洞风险提示| Adobe ColdFusion 远程代码执行漏洞 https://cn-sec.com/archives/1612837.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: